Çin’deki Pangu Laboratuarı’ndan araştırmacılar, ABD tarafından kullanılan “üst düzey” bir arka kapının ayrıntılarını açıkladılar. Denklem GrubuABD Ulusal Güvenlik Ajansı’nın (NSA) siber savaş istihbarat toplama birimiyle bağlantılı olduğu iddia edilen gelişmiş bir kalıcı tehdit (APT).
dublajlı “bvp47“Bvp” dizesine ve şifreleme algoritmasında kullanılan “0x47” sayısal değerine çok sayıda referans nedeniyle, arka kapı, 2013 yılında “önemli bir yerel departmandaki bir ana bilgisayarın derinlemesine adli soruşturması sırasında” Linux sistemlerinden çıkarıldı. .
Pangu Lab, “TCP SYN paketlerine dayalı gelişmiş gizli kanal davranışı, kod gizleme, sistem gizleme ve kendi kendini yok etme tasarımı” içeren Bvp47 “Telescreen Operasyonu”nun konuşlandırılmasını içeren saldırıları kodladı.
Shadow Broker sızdırıyor
Denklem Grubudublajlı “siber casusluğun taç yaratıcısıRus güvenlik firması Kaspersky tarafından, en az 2001’den beri aktif olan ve “kurbanlara bulaşmak, verileri almak ve faaliyetleri son derece profesyonel bir şekilde gizlemek” için daha önce açıklanmayan sıfırıncı gün açıklarını kullanan karmaşık bir düşmana verilen addır. daha sonra Stuxnet’e dahil edildi.
Saldırılar, hükümetler, telekom, havacılık, enerji, nükleer araştırma, petrol ve gaz, askeri, nanoteknoloji, İslami aktivistler ve akademisyenler, medya, ulaşım, finans kurumları ve gelişmekte olan şirketler dahil olmak üzere en az 42 ülkede çeşitli sektörleri hedef aldı. şifreleme teknolojileri.
Grubun NSA’nın Özel Erişim Operasyonları ile bağlantılı olduğuna inanılıyor (TAO) birimi, dublajlı ikinci bir topluluğa ait izinsiz giriş faaliyetleri Longhorn (aka The Lamberts) ABD Merkezi İstihbarat Teşkilatı’na (CIA) atfedilmiştir.
Equation Group’un kötü amaçlı yazılım araç seti, 2016 yılında bir grup kendisine Gölge Komisyoncular Kaspersky, elit hack ekibi tarafından kullanılan tüm açıkları sızdırdı. kod düzeyinde benzerlikler çalınan dosyalar ile tehdit aktörü tarafından kullanıldığı belirlenen örneklerin dosyaları arasında.
Gizli bir arka kapı olarak Bvp47
Pangu Lab tarafından analiz edilen olay, dahili olarak güvenliği ihlal edilmiş iki sunucudan, sırasıyla V1 ve V2 adlı bir e-posta ve bir kurumsal sunucudan ve sistemlerden hassas verileri sızdırmak için yeni bir iki yönlü iletişim mekanizmasına sahip harici bir etki alanından (A olarak adlandırılır) oluşur.
Araştırmacılar, “Harici ana bilgisayar A ile V1 sunucusu arasında anormal bir iletişim var” dedi. “Özellikle, A ilk önce bir SYN paketi V1 sunucusunun 80 numaralı bağlantı noktasına 264 baytlık bir yük ile ve ardından V1 sunucusu, A makinesinin üst uç bağlantı noktasına hemen harici bir bağlantı başlatır ve büyük miktarda değişim verisi tutar.”
Eşzamanlı olarak, V1, V2’ye şu şekilde bağlanır: KOBİ hizmeti yönetici hesabıyla oturum açma, terminal hizmetlerini açmaya çalışma, dizinleri numaralandırma ve zamanlanmış görevler aracılığıyla PowerShell komut dosyalarını yürütme dahil olmak üzere bir dizi işlemi gerçekleştirmek.
V2, kendi adına, bir PowerShell betiği ve şifreli bir ikinci aşama yükü almak için V1’e bağlanır; şifreli yürütme sonuçları, araştırmacılara göre “arasında bir veri aktarımı görevi gören V1’e geri gönderilir. Bir makine ve V2 sunucusu.”
Sunuculara kurulan Bvp47 arka kapısı, gerçek yükün kodunun çözülmesinden ve belleğe yüklenmesinden sorumlu olan bir yükleyici olmak üzere iki bölümden oluşur. Araştırmacılar, “Bvp47 genellikle İnternet ile iletişim kuran askerden arındırılmış bölgedeki Linux işletim sisteminde yaşıyor” dedi. “Genel olarak saldırıda temel kontrol köprüsü iletişim rolünü üstlenir.”
Denklem Grubuna Linkler
Pangu Lab’in Equation Group’a atfedilmesi, Shadow Brokers tarafından yayınlanan GPG şifreli bir arşiv dosyasında bulunan açıklardan yararlanmalarla örtüşmelerden kaynaklanmaktadır – “eqgrp-auction-file.tar.xz.gpg” – bir parçası olarak arızalı açık arttırma Ağustos 2016’da siber silahların sayısı.
“‘eqgrp-auction-file.tar.xz.gpg’ dosyasını analiz etme sürecinde, Bvp47’nin ve sıkıştırılmış paketteki saldırı araçlarının teknik olarak deterministik olduğu, özellikle ‘dewdrops’, ‘suctionchar_agents’ ‘ araştırmacılar, “StoicSurgeon”, “insizyon” ve diğer dizinler” dedi.
“‘İpuçları’ dizini şunları içerir: RSA asimetrik algoritması Bvp47 gizli kanalında kullanılan özel anahtar [for] komut yürütme ve diğer işlemler. Bu temelde, Bvp47’nin [the] Denklem grubu.”
Bulgular, Equation Group tarafından geliştirilen şimdiye kadar belgelenmemiş kötü amaçlı yazılımın birkaç ay içinde ikinci kez gün yüzüne çıktığını gösteriyor. Aralık 2021’in sonlarında Check Point Research, DanderSpritz kötü amaçlı yazılım çerçevesiyle birlikte kullanılan “DoubleFeature” adlı bir tanılama yardımcı programının ayrıntılarını açıkladı.
Araştırmacılar, “Bvp47 de dahil olmak üzere kuruluşla ilgili saldırı araçlarına bakıldığında, Equation grubu gerçekten birinci sınıf bir hack grubudur” dedi.
“Araç iyi tasarlanmış, güçlü ve geniş çapta uyarlanmış. 0 günlük güvenlik açıklarıyla donatılmış ağ saldırı yeteneği durdurulamazdı ve gizli kontrol altındaki veri toplaması çok az çabayla oldu. Denklem Grubu ulusal düzeyde siber uzayda baskın bir konumda. yüzleşme.”
